在开发过程中,要允许Chrome浏览器引用本地存储的JavaScript和XML样式表,必须使用--allow-file-access-from-files开关启动浏览器。
显然,出于“安全原因”,此本地文件辅助功能不是默认的Chrome行为。 允许这样做的确切安全含义是什么?
我想不出任何不做作的事情!
答案 0 :(得分:0)
请参阅here:
默认情况下,file:// URIs无法读取其他文件:// URI。这是个 覆盖需要旧行为进行测试的开发人员。
基本上,这意味着如果您在本地保存HTML文件,此设置允许任何JavaScript读取其他file:// URI。如果您有时运行本地HTML内容(通过双击文件系统上的HTML文件),恶意文件可以从本地计算机读取文件并通过Web将其发送到攻击者的站点。
在线浏览似乎没有任何额外的安全风险,因为它似乎只会影响通过file方案加载的网页。